Det här är en opinionstext. Åsikter som uttrycks är skribentens egna. Att due diligence (företagsbesiktning) är ytterst viktigt vid förvärv och samgående mellan företag (mergers and acquisitions, M&A) förstår nog de flesta, då stora summor och värden står på spel. Vid ett företagsuppköp genomförs en due diligence för att granska målbolaget noggrant och identifiera eventuella […]
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Att due diligence (företagsbesiktning) är ytterst viktigt vid förvärv och samgående mellan företag (mergers and acquisitions, M&A) förstår nog de flesta, då stora summor och värden står på spel. Vid ett företagsuppköp genomförs en due diligence för att granska målbolaget noggrant och identifiera eventuella risker och möjligheter utifrån ett brett spektrum av områden att kontrollera. Man vill ju inte köpa grisen i säcken.
Den stora frågan är hur mycket tid och kvalitet jämfört med de andra kontrollområdena som läggs på att just granska mognaden vad gäller cybersäkerhet och om ägarna lägger det fokus som området förtjänar med tanke på de verksamhetsrisker som kan uppstå.
Att inte kontrollera den övergripande cybersäkerhetsmognaden hos ett företag som ska förvärvas eller slås samman med ett annat företag kan vara ett stort misstag och en högst trolig källa till en kommande ekonomisk utmaning. Konsekvenserna kan bli svåra att förutsäga. Det sägs ju att de flesta förvärv och sammanslagningar mellan företag misslyckas, varför försämra chanserna och utmana ödet ännu mer?
De experter som jobbar kontinuerligt med due diligence är säkert noggranna med att undersöka cybersäkerheten. Frågan är om de kommer in i tid och får det stöd och gehör för sin rapportering som de borde få. En annan fråga är om alla relevanta aspekter av cybersäkerhet kontrolleras eller om det fortfarande är mest fokus på det tekniska skyddet. Det räcker tyvärr inte med att kontrollera om det aktuella företaget har brandväggar och antivirusprogram.
· Finns det ett systematiskt och riskbaserat arbete med informationssäkerhet, i vilket den högsta ledningen är både informerad och drivande?
· Skyddas data med säkerhetskopiering och rutiner för återställning och har lösningarna verifierats nyligen?
· Är känsliga data krypterade och skyddade?
· Har före detta anställda och konsulter fasats ut ordentligt från samtliga it-system (”offboardats”)?
· Har leverantörers säkerhet kontrollerats och följts upp kontinuerligt?
· Bedöms och utförs säkerhetsuppdateringar kontinuerligt och i tid?
· Har personalen genomgått en utbildning inom säkerhetsmedvetenhet (security awareness)?
· Har säkerhetsgranskningar genomförts för de mest skyddsvärda it-systemen och de it-tjänster som publiceras externt?
Med åren kommer erfarenheten att läsa mellan raderna och lyssna på nyanser. Här är några enkla frågor att ställa till högsta ledningen som underlättar analysen. De ska besvaras utan minsta blinkning eller tvekan i rösten:
· Finns det utpekade personer med tydliga mandat att leda och driva cybersäkerhetsarbetet?
· Rapporterar den cybersäkerhetsansvarige direkt till den högsta ledningen?
· Finns det en holistisk mognadsmätning som grund för beslut om risk och förmågenivå?
· Finns det en långsiktig cybersäkerhetsstrategi med tydliga mål som kontinuerlig följs upp av den högsta ledningen?
· Hur stor del av företagets totala it-budget bedömer företaget att det har avsatt för sitt cybersäkerhetsarbete?
Är svaret jag/vi vet inte eller ”det fixar it-chefen” på dessa kärnfrågor så är det värt att dra öronen åt sig och genomföra en närmare undersökning innan man går vidare.
Det kan självklart vara svårt för någon som inte är en erfaren cybersäkerhetsexpert att utvärdera sådana här saker, då cybersäkerhet är ett komplext område. Om man inte har erfarenhet att göra jobbet själv, men har ett intresse av att det görs ordentligt, är det klokt att nyttja externa experter som kan läsa mellan raderna och ställa de rätta kontrollfrågorna.
Med tiden kommer undersökningar om cybersäkerhetsmognad med all säkerhet (ursäkta) att standardiseras, automatiseras och göras mer lättillgängliga och vara en stående punkt på högsta ledningens agenda. Men där är vi inte än. Det krävs arbetsinsatser.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
